CloudTrail의 Amazon Cognito 정보 - Amazon Cognito

CloudTrail의 Amazon Cognito 정보

CloudTrail은 계정 생성 시 AWS 계정에서 켜집니다. 지원되는 이벤트 활동이 Amazon Cognito에서 발생하면, 해당 활동이 [이벤트 기록(Event history)]의 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록을 사용하여 이벤트 보기를 참조하세요.

Amazon Cognito에 대한 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail 추적은 Amazon S3 버킷으로 로그 파일을 전송합니다. 콘솔에서 추적을 생성하면 기본적으로 모든 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 정보는 다음을 참조하세요.

Amazon Cognito 사용자 풀

Amazon Cognito는 사용자 풀 작업(User pool actions) 페이지에 나열된 모든 작업을 CloudTrail 로그 파일에 이벤트로 로그하도록 지원합니다. 또한 Amazon Cognito는 다음 요청 유형을 호스팅 UI에 CloudTrail의 이벤트로 로그합니다.

Cloudtrail에서 호스팅 UI 작업
작업 설명
Login_GET, CognitoAuthentication 사용자가 보안 인증을 보거나 Login 엔드포인트에 제출합니다.
OAuth2_Authorize_GET 사용자가 권한 부여 엔드포인트를 봅니다.
OAuth2Response_GET, OAuth2Response_POST 사용자가 /oauth2/idpresponse 엔드포인트에 IdP 토큰을 제출합니다.
SAML2Response_POST 사용자가 /saml2/idpresponse 엔드포인트에 IdP SAML 어설션을 제출합니다.
Login_OIDC_SAML_POST 사용자가 Login 엔드포인트에 사용자 이름을 입력하고 IdP 식별자와 일치합니다.
Token_POST 사용자가 Token 엔드포인트에 인증 코드를 제출합니다.
Signup_GET, Signup_POST 사용자가 /signup 엔드포인트에 가입 정보를 제출합니다.
Confirm_GET, Confirm_POST 사용자가 호스팅 UI에서 확인 코드를 제출합니다.
ResendCode_POST 사용자가 호스팅 UI에서 확인 코드를 다시 보내라는 요청을 제출합니다.
ForgotPassword_GET, ForgotPassword_POST 사용자가 /forgotPassword 엔드포인트에 암호를 재설정하라는 요청을 제출합니다.
ConfirmForgotPassword_GET, ConfirmForgotPassword_POST 사용자가 /confirmForgotPassword 엔드포인트에 ForgotPassword 요청을 확인하는 코드를 제출합니다.
ResetPassword_GET, ResetPassword_POST 사용자가 호스팅 UI에서 새 암호를 제출합니다.
Mfa_GET, Mfa_POST 사용자가 호스팅 UI에서 다중 인증(MFA) 코드를 제출합니다.
MfaOption_GET, MfaOption_POST 사용자가 호스팅 UI에서 MFA에 대해 선호하는 방법을 선택합니다.
Logout 사용자가 /logout 엔드포인트에서 로그아웃합니다.
SAML2Logout_POST 사용자가 /saml2/logout 엔드포인트에서 로그아웃합니다.
Error_GET 사용자가 호스팅 UI에서 오류 페이지를 봅니다.
UserInfo_GET, UserInfo_POST 사용자 또는 IdP가 UserInfo 엔드포인트와 정보를 교환합니다.
Confirm_With_Link_GET 사용자가 Amazon Cognito가 이메일 메시지로 보낸 링크를 기반으로 확인을 제출합니다.
Event_Feedback_GET 사용자가 Amazon Cognito에 고급 보안 기능 이벤트에 대한 피드백을 제출합니다.
참고

Amazon Cognito는 사용자별 요청에 대한 CloudTrail 로그에 UserSub는 기록하지만 UserName은 기록하지 않습니다. ListUsers API를 호출하고 하위 집합을 표시하는 필터를 사용하여 특정 UserSub의 사용자를 찾을 수 있습니다.

Amazon Cognito 연동 자격 증명

Amazon Cognito Sync

Amazon Cognito는 [Amazon Cognito Sync 작업(Amazon Cognito Sync actions)] 페이지에 나열된 모든 작업을 CloudTrail 로그 파일에 이벤트로 로깅하도록 지원합니다.

모든 이벤트 및 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.

  • 요청을 루트로 했는지 아니면 IAM 사용자 자격 증명으로 했는지 여부.

  • 역할 또는 연합된 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부.

  • 다른 AWS 서비스에서 요청했는지 여부.

자세한 내용은 CloudTrail userIdentity 요소를 참조하세요.